Le droit impose des garde-fous au Big Data pour éviter un effet Big Brother

En France, la collecte et l’utilisation des données à caractère personnel est encadrée par la loi n° 78-17 du 6 janvier 1978 « Informatique et libertés ». Cette loi définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles.

Cette législation fait l’objet, au niveau de l’Union Européenne, d’un projet de réforme qui devrait bientôt aboutir à un règlement applicable au sein de l’Union. Ce règlement impactera les activités consistant à suivre le comportement et les habitudes des personnes en vue de prendre des décisions à leur égard ou d’analyser et de prédire leurs préférences personnelles, leurs comportements et leurs attitudes (ce qui peut correspondre à une définition du Big Data). Cela prouve que la législation est en train d’évoluer pour s’adapter aux pratiques liées au Big Data.

Toute utilisation du Big Data pour traiter des informations concernant des personnes doit donc respecter les principes et les obligations de protection des données dictés par cette loi.

Nous avons sélectionnés ci-dessous 3 obligations intéressantes à respecter avant d’exploiter les données de ses salariés :

• Le principe de finalité : Les données personnelles doivent être collectées pour des
  « finalités explicites, légitimes et spécifiques ». La notion de finalité spécifique (les traitements de données à des fins statistiques ou à des fins de recherche scientifique ou historique sont considérés comme des finalités spécifiques) nous intéresse particulièrement dans le cadre d’analyses Big Data.
  De plus, ces données ne peuvent pas être « traitées ultérieurement de manière incompatible avec ces finalités ».
  • Lors d’une analyse Big Data, la finalité n’est pas toujours connue au moment où les données sont collectées (l’analyse de quantités massives de données peut permettre de faire ressortir des applications ou des résultats qui n’étaient pas anticipés à l’origine par ceux qui avaient initié le traitement).
    Il peut donc y avoir violation du principe de finalité.

• Le consentement et l’information des personnes : Le consentement des personnes dont les données sont collectées doit être  « libre et éclairé ». Les personnes doivent également être informées du but du traitement des données ainsi que des destinataires de ces données
  • Le fait que la finalité de l’analyse ne soit pas toujours connue au moment de la collection des données peut empêcher cette information et ce consentement éclairé.

• La conservation des données doit être limitée : les données personnelles collectées ne peuvent être conservées que pour la durée nécessaire aux finalités de la collecte et du traitement.
  • Cela est particulièrement important dans le cadre du Big Data car, pour pouvoir réaliser certaines analyses (par exemple pour déterminer des corrélations entre certaines particularités d’un salarié et l’efficacité), l’entreprise aura besoin de données historiques.

• Impossibilité d’utiliser les résultats : il est interdit de prendre une décision sur le seul fondement d’un traitement automatisé de données (Article 10 de la LIL). Cela peut rendre inutilisable certains résultats des analyses Big Data.

• Non-respect de la vie privée

• Risques juridiques : par exemple, une entreprise peut être tentée par la collecte de donnée sur ses salariés sur LinkedIn. Or, les termes et conditions d'utilisation de LinkedIn interdisent l'exploitation de ces données par l'entreprise.

• Discrimination des salariés : en effet, certaines analyses Big Data peuvent trouver des corrélations potentiellement discriminantes (par exemple, le fait d’habiter dans tel quartier peut être corrélé avec un certain niveau de productivité. Ce critère peut être discriminant dans le cadre d’un recrutement)

• Risques liés à la protection des données : peu d’entreprises seront capables de réaliser en interne des analyses Big Data. Elles devront donc faire appel à des prestataires extérieurs ; ce qui peut être dangereux pour les données des salariés.

Le rapport « Transformation numérique et vie au travail » rédigé par Bruno Mettling (ancien DRH d'Orange), préconise « d'encadrer strictement l'usage des données relatives aux salariés». Ce rapport considère que le Big Data sera porteur de progrès mais également de risques et préconise donc de mettre en place « une disposition législative clarifiant l’usage des données concernant ou provenant des salariés». Ce rapport préconise également de mettre en place « une gouvernance intégrant des organisations syndicales, afin de les associer à la définition et au contrôle de ces usages ».

Voici un extrait de quelques préconisations des syndicats :

• « La création d’une gouvernance paritaire des données personnelles des salariés en cas de Big Data sur des données» (CFDT)

• Le besoin de donner aux salariés concernés « un droit d’information mais aussi un droit de rectification des informations erronées » (CFE-CGC)

• Le besoin d’encadrer « ce que l’employeur a le droit de connaître d’une part, et a le droit d’utiliser, d’autre part » (FO)

• Le besoin de déterminer le propriétaire des données collectées : « Pour FO, c’est l’individu-salarié concerné »

Les syndicats ne s’opposent pas au Big Data et reconnaissent les potentiels bénéfices liés à son utilisation mais ils souhaitent que des gardes fous relatifs à l’utilisation des données internes comme externes des salariés soient mis en place.

Le Big Data offre de nouvelles perspectives alléchantes dans le domaine des ressources humaines. La mise en corrélation de données multiples qu’elles soient liées à l’individu ou non offre de nouveaux axes d’analyse pour les entreprises et leurs DRH qui sont autant de promesses d’amélioration de la connaissance de l’employé et donc de sa gestion. Toutefois, pour pouvoir en bénéficier, les entreprises devront être bien informées sur le cadre légal et les exigences autour du respect des données. Elles devront trouver des solutions pour respecter ces contraintes mais également pour rendre les syndicats acteurs de ce changement.